"Расчеты и операционная работа в коммерческом банке", 2006, N 7-8

АНАЛИЗ ФАКТОРОВ РИСКА, СВЯЗАННЫХ С ИНТЕРНЕТ-БАНКИНГОМ <1>

     
   ————————————————————————————————
   

<1> Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

(Окончание. Начало см. "Расчеты и операционная работа в коммерческом банке", 2006, N N 5, 6)

При осуществлении кредитными организациями дистанционного банковского обслуживания (ДБО) через Интернет образуется так называемый информационный контур банковской деятельности (ИКБД), следствием чего становится изменение количества и состава факторов (и источников) банковских рисков, принимаемых на себя такими организациями. Это явление, относительно новое в банковском секторе, по мнению автора, не получало до последнего времени должного внимания со стороны банковского сообщества. В то же время целесообразность адекватного осознания и анализа данного явления не подлежит сомнению: существенно расширяется состав таких компонентов банковских рисков, которые оказываются фактически неконтролируемыми со стороны кредитных организаций, что в отсутствие адекватных учета, анализа и парирования влияния соответствующих источников риска может привести к негативным последствиям для этих организаций и их клиентов.

Как отмечалось в первой и второй частях настоящей статьи <2>, основными зонами концентрации факторов риска, контроль над которыми (в полном смысле слова) для кредитных организаций принципиально невозможен, являются клиентура, обслуживаемая через Интернет, то есть пользующаяся технологией интернет-банкинга (ИБ), провайдеры кредитных организаций, а также линии (каналы) связи, не говоря уже о виртуальном пространстве Интернета как мировой компьютерной сети. Тем более что сам выход кредитной организации в это пространство становится причиной возникновения угроз нового типа, которые обусловлены во многих случаях наличием физических связей между web-серверами, через которые осуществляется обслуживание клиентов, и локальными (или зональными) вычислительными сетями кредитных организаций, чем в последние годы активно пользуются хакеры, крэкеры и прочие злоумышленники. Тем не менее в "киберпространстве" все не так уж страшно, и при правильной организации работы самой кредитной организации, то есть наличии в составе ее деятельности ряда важных бизнес-процессов (в широком смысле), становится возможным парировать если не все внешние и внутренние угрозы, обусловленные компьютеризацией банковской деятельности как таковой и применением кредитными организациями ИБ (да, впрочем, и интернет-технологий в целом), то, во всяком случае, подавляющее большинство из них. Этим вопросам и посвящена настоящая часть статьи.

     
   ————————————————————————————————
   

<2> См.: N 5/2006, с. 52 - 63; N 6/2006, с. 43 - 54.

Во многих материалах зарубежных органов банковского надзора в последние годы подчеркивается, что внедрение кредитными организациями все новых видов и способов дистанционного банковского обслуживания клиентов в условиях отсутствия регламентации этих процессов приводит к расширению состава негативных факторов, которые могут затронуть интересы клиентов этих организаций, равно как и негативно сказаться на их финансовом состоянии. Необходимо подчеркнуть, что в современных условиях банковской деятельности реализация любого банковского риска может привести к тому, что даже преуспевающая кредитная организация понесет финансовые и (или) конкурентные потери, не сможет выполнить свои обязательства (перед клиентами и контрагентами) или у нее возникнут затруднения с бизнесом. Хотя это прописная истина, но приведена она здесь для того, чтобы подчеркнуть значимость правильного учета всех факторов риска, связанных с ДБО через Интернет. Рассматривая указанную проблематику в той же последовательности, в какой она рассматривалась в первых двух частях статьи, логично начать с клиентской зоны концентрации факторов риска.

При организации и осуществлении банковской деятельности заботу о клиенте, об удовлетворении его потребностей и учете его интересов традиционно принято ставить во главу угла (или по меньшей мере декларировать это). Однако "состав" этой заботы не всегда определяется адекватно потребностям как самой кредитной организации, так и ее клиентов. Имеется в виду целесообразность проведения при внедрении каждой новой банковской технологии, ориентированной на ДБО, анализа тех "неприятностей", которые клиент (как авторизованный, так и нет, т.е. хакер или преступник) может доставить кредитной организации и самому себе из-за недостатков, присущих конкретной банковской информационной технологии, реализующим ее внутрибанковским автоматизированным системам, внутренним документам самой кредитной организации, обеспечению информационной безопасности, а также тех, которые могут быть обусловлены ошибочными действиями персонала кредитной организации и безграмотностью клиентов в области компьютерных технологий или информационной безопасности. "Подмножества" таких неприятностей, в свою очередь, целесообразно формировать и анализировать в отношении обеспечения целостности как массивов банковских и клиентских данных, так и операционной работы в кредитной организации (включая варианты нештатного функционирования ее автоматизированных систем).

Поэтому в ситуациях применения ДБО (или, иначе, технологий электронного банкинга) в целом и ИБ в частности кредитные организации, с точки зрения автора, вынуждены пересматривать и адаптировать довольно много внутренних процессов и составляющих их процедур к новым условиям деятельности, а также вводить дополнительные. При этом всегда желательно устанавливать непрерывные причинно-следственные связи между особенностями ИБ, текущей операционной работой и массивами данных, с которыми эта работа осуществляется и на которые эти особенности могут повлиять. К сожалению, ввиду множественности вновь возникающих факторов, вызванных возникновением ИКБД, такие связи далеко не всегда очевидны. Прежде всего это относится к процессам управления банковской деятельностью, ее анализу и контролю над ней с охватом всех тех компонентов ИКБД, которые могут оказаться в "пределах досягаемости" для их учета со стороны кредитной организации. Таким образом, сам выход кредитной организации в Сеть с формированием собственного или использованием стороннего представительства в ней логически является стимулом для анализа и пересмотра установленных внутрибанковских процессов и составляющих их процедур.

В первую очередь целесообразно рассмотреть такой новый процесс (или совокупность процессов), как обеспечение функционирования каждого отдельного web-сайта, используемого кредитной организацией (неважно, своего собственного или арендуемого). В общем случае для эффективного и надежного использования любого web-сайта требуется специальный внутрибанковский процесс, который ранее в кредитной организации (не имевшей представительств в Сети) отсутствовал и содержание которого непосредственно зависит от размещения, функционального назначения, ведения, сопровождения и контроля так называемого контента web-сайта. Такой процесс может состоять как минимум из:

- принятия обоснованных управленческих решений относительно организации и функционирования такого представительства;

- разработки внутренних документов кредитной организации, регламентирующих ведение, сопровождение и контроль содержания web-сайта <3>;

- назначения ответственных лиц в кредитной организации за использование представительства в Сети и осуществление операций ИБ;

- определения порядка формирования содержания web-сайта и наполнения информацией от подразделений кредитной организации;

- разработки внутренних документов кредитной организации, регламентирующих прекращение использования web-сайта и (или) изменение его дислокации;

- определения порядка информирования клиентов кредитной организации о ее деятельности в рамках ИБ и об изменениях в этой деятельности;

- определения порядка информирования Банка России о применении в банковской деятельности интернет-технологий <4>;

- назначения ответственных лиц за подготовку регламентной банковской отчетности, имеющей отношение к обслуживанию через Интернет.

     
   ————————————————————————————————
   

<3> При размещении web-сайта на компьютерных системах сторонних организаций потребуется также организация взаимодействия с провайдерами, его документарное описание и оформление (в договорах), распределение в кредитной организации ответственности и обязанностей в рамках этого взаимодействия, введение контроля над функционированием провайдера и пр.

<4> Указания Банка России от 01.03.2004 N 1390-У "О порядке информирования кредитными организациями Центрального банка Российской Федерации об использовании в своей деятельности интернет-технологий" и от 30.11.2004 N 1522-У "О внесении изменений в Указание Банка России от 1 марта 2004 года N 1390-У "О порядке информирования кредитными организациями Центрального банка Российской Федерации об использовании в своей деятельности интернет-технологий".

То есть кредитной организации желательно изначально определить и сопоставить необходимость перехода к обслуживанию через Интернет со своими стратегическими целями, равно как и свои возможности по обеспечению пруденциальных условий такого обслуживания. Уже из приведенного перечисления видно, что круг подлежащих рассмотрению и изучению вопросов может оказаться достаточно обширным, а их решение, скорее всего, приведет к возникновению потребности кредитной организации в дополнительных ресурсах, как финансовых, так и квалификационных. Впрочем, в настоящее время считается, что первоначальные затраты на внедрение ИБ могут быть относительно высоки, однако они быстро окупаются - как минимум с ростом клиентской базы. Видимо, поэтому некоторые кредитные организации уже предлагают ИБ своим VIP-клиентам даже бесплатно.

Однако это далеко не все, что касается представительства в Сети, особенно в тех случаях, когда кредитные организации используют в своей деятельности несколько функционально различных web-сайтов. В настоящее время, несмотря на интенсивное развитие web-порталов, часто встречается функциональное разделение web-сайтов: одни из них имеют чисто информационный характер, служа целям маркетинга, другие могут быть предназначены для интернет-трейдинга, дилинга или брокеринга, третьи обеспечивают операционный ИБ - непосредственное управление клиентами своими счетами и т.п. Следует отметить, что в каждом из вариантов использования кредитными организациями интернет-обслуживания имеются свои особенности, которые характеризуются различными наборами факторов риска. В первую очередь имеет значение наличие (или, напротив, отсутствие) каких-либо физических связей между web-серверами и банковскими автоматизированными системами кредитных организаций. Очевидно, что от организации таких связей и конкретного содержания ИБ зависят и состав, и количество источников риска, и собственно набор реально существующих из общего состава типичных банковских рисков.

Следствием этого являются принципиальные различия в составе необходимых и достаточных мер защиты внутрибанковских автоматизированных систем кредитных организаций, их операционного программного обеспечения и массивов банковских и клиентских данных. Например, если кредитная организация использует выделенный web-сайт только для представления себя в Сети и маркетинга, то этому варианту могут сопутствовать элементы репутационного и правового рисков, тогда как составляющие стратегического и операционного риска, а также риска ликвидности отсутствуют. Вследствие этого отсутствует и необходимость в организации защиты используемых кредитной организацией автоматизированных систем, что связано с наиболее значительными затратами на обеспечение информационной безопасности. В то же время защита самого web-сайта, обеспечение целостности представляемой на нем информации, своевременное обновление и контроль его содержания, а также эффективное взаимодействие кредитной организации с провайдерами, от которых в какой-либо степени зависит функционирование сайта, остаются необходимыми для любого варианта ИБ.

Дополнительные особенности в ведении и контроле контента web-сайта возникают еще и в тех случаях, когда кредитные организации формируют свое представительство на web-сайтах сторонних компаний или допускают наличие представительств таких "третьих лиц" на своем web-сайте в виде выделенных фреймов, баннеров или гиперссылок. В таких случаях целесообразно организовывать web-страницы кредитной организации таким образом, чтобы заведомо исключить возможность введения в заблуждение клиентов кредитной организации (как реальных, так и потенциальных) относительно того, кто именно и какие услуги предоставляет из числа тех, о которых сообщается на web-сайте. То есть целесообразно позаботиться как минимум о четком разделении услуг, относящихся к самой кредитной организации, и услуг, предоставляемых третьими сторонами. Такая "забота" инициируется, естественно, органами управления кредитной организации, которые, собственно, и принимают решения об информационном взаимодействии с третьими сторонами и его формах. Очевидно, что решения такого рода целесообразно оформлять в кредитной организации документально и оговаривать в этих документах допустимые (или недопустимые) с точки зрения ее интересов варианты взаимодействия.

Подобные ситуации за рубежом определяются как "совместно используемое электронное пространство" (shared electronic space) <5>. При этом самой кредитной организации желательно заботиться и о защищенности используемого в банковской деятельности web-сайта хотя бы в части организационных мер, чтобы исключить возможности несанкционированного (допустим, хакерского) воздействия на его контент и функционал. В целом можно предположить, что клиенты ожидают от кредитной организации непрерывной доступности конкретной услуги и интуитивно понятного построения web-страниц с простой навигацией (ориентацией) по ним. Ну, а по мере расширения присутствия кредитной организации в Сети ее внутренние документы и регламенты, имеющие отношение к этому процессу, целесообразно обновлять, что также считается заботой органов управления кредитной организации.

     
   ————————————————————————————————
   

<5> Детально данные вопросы проработаны, например, в законодательстве США: 12 CFR Part 7, Electronic Activities, Office of the Comptroller of the Currency, Department of the Treasury, Federal Register, Vol. 67, N 96, May 2002.

Немаловажное значение на процессы ИБ оказывает также клиентура кредитной организации, естественно, "компьютерно-грамотная", обученная, снабженная необходимыми средствами идентификации и аутентификации, подлежащими использованию при передаче в КО ордеров или осуществлении транзакций, а также руководствами пользователя или инструкциями и строго им следующая. Для того чтобы такая идеальная ситуация действительно сложилась, требуется наличие в кредитной организации и (или) ее филиалах <6> таких специалистов, которые не только имеют представление обо всех аспектах обслуживания через Интернет, но и располагают полным набором внутренних документов кредитной организации, регламентирующих такое обслуживание.

     
   ————————————————————————————————
   

<6> В настоящее время имеется довольно много примеров применения ИБ филиалами кредитных организаций, которые в головных офисах этот вид ДБО не используют.

В случаях "заказной" разработки системы ИБ или приобретения ее "под ключ" у какой-либо компании-разработчика этим специалистам целесообразно убедиться, что соответствующая поставочная документация на данную систему содержит все необходимые для безопасной и надежной работы с ней указания, причем как для клиентов, так и для операторов самой кредитной организации. Естественно, предполагается, что упомянутые специалисты сами имеют адекватное представление о составе и содержании таких указаний. От них же зависит, насколько полно и адекватно будут учтены возможные действия будущих клиентов ИБ, а из их состава прежде всего тех, из-за которых проблемы с ДБО через Интернет возникнут не только у самих клиентов, но и у кредитной организации.

Кроме того, в ситуации, когда филиалы кредитной организации предоставляют обслуживание через Интернет, а ее головной офис нет, в органах ее управления желательно присутствие руководителей, не только обязанных, но и способных контролировать процессы банковского обслуживания посредством ИБ в филиалах. Причем таким руководителям требуются знания, достаточные для осуществления контроля, и наличие своих представителей в таких филиалах, которые могли бы контролировать деятельность в рамках данного вида ДБО. Да и само разделение операционной деятельности по видам между головным офисом и филиалом в общем случае требует соответствующего организационного "оформления" с распределением полномочий, ответственности, обязанностей и т.д. По-видимому, к таким процессам целесообразно привлекать также службы внутреннего контроля и информационной безопасности кредитной организации, чтобы филиал - как посредник между КО и внешним миром - не стал для нее источником проблем, о которых уже говорилось в предыдущих частях статьи.

Излишне, наверное, говорить, что описанную организацию внутрибанковских процессов управления и контроля ИБ желательно подкреплять соответствующими внутрибанковскими распорядительными документами, что, к примеру, настоятельно рекомендуется во многих материалах зарубежных органов банковского регулирования и надзора <7>. Тогда при должном, конечно же, содержании и качестве договоров с клиентами на обслуживание через Интернет будет в значительной степени обеспечено отсутствие влияния на деятельность кредитной организации и ее результаты факторов таких банковских рисков, как операционный, репутационный, правовой и стратегический <8>, связанных с клиентской зоной. На самом-то деле и кредитная организация, и ее клиенты должны быть в равной степени "защищены" друг от друга...

     
   ————————————————————————————————
   

<7> Risk Management Principles for Electronic Banking // Basel Committee on Banking Supervision, July 2003.

<8> Состав учитываемых при рассмотрении проблематики ИБ банковских рисков обоснован и описан в первой части настоящей статьи.

Из сказанного становится очевидно, что для обеспечения надежной и безопасной работы с клиентами кредитной организации в данном варианте ДБО требуется наличие специально организованного внутреннего процесса, в который вовлекается достаточно большое число ее сотрудников. Это как минимум специалисты подразделений информатизации (желательно - владеющие web-технологиями), информационной безопасности, какая-то часть операторов внутрибанковских автоматизированных систем, а также сотрудники сервис-центра, к которым обращаются клиенты при возникновении вопросов. В должностные инструкции каждого из этих сотрудников целесообразно включать положения, гарантирующие выполнение таких действий, которые парировали бы возможные неумышленные (как правило) угрозы со стороны клиентской зоны риска, равно как и контролируемость их действий. В общем случае при внедрении любых новых банковских технологий, особенно относящихся к ДБО, рекомендуется осуществлять переподготовку персонала, в ходе которой сотрудники кредитной организации ставились бы в известность о внешних угрозах (они могут оказаться связанными с данной технологией), возможных ошибках клиентов и т.п. Можно добавить, что этих сотрудников полезно информировать также и о тех негативных последствиях для кредитной организации, к которым может привести невыполнение ими самими своих должностных инструкций (впрочем, с последним на практике сталкиваться не приходилось, хотя не исключено, что в каких-то кредитных организациях это и делается - ведь положения такого рода нередко встречаются в материалах зарубежных органов банковского регулирования и надзора).

Аналогичные процессы следовало бы организовывать и в отношении "внешнего киберпространства", со стороны которого постоянно (круглосуточно) присутствуют угрозы несанкционированных проникновений разного рода. При этом атаки могут вестись, как отмечалось ранее, через компьютерные системы связанных с кредитной организацией сторон, а следовательно, такие угрозы также желательно предусмотреть, разрабатывая и политику информационной безопасности кредитной организации, и систему защиты внутрибанковских систем, и планы действий кредитной организации на случай чрезвычайных обстоятельств, а также составляя контракты на аутсорсинг. Что касается в данной ситуации фактически атакуемых кредитных организаций, то их специалистам уместно было бы организовать помимо перечисленных и своеобразный "процесс повышения квалификации" с ознакомлением с "достижениями" потенциальных противников.

Это относится прежде всего к специалистам кредитной организации по информационным технологиям и информационной безопасности. Ведь именно от них зависит, насколько правильно настроены средства защиты сетевого периметра и внутрибанковских систем кредитной организации, какие виды угроз предусмотрены и какие сценарии на этот счет описаны, своевременно ли заменяются компьютерные средства защиты, "пробитые" крэкерами, и вносятся изменения в политику информационной безопасности кредитной организации и в другие связанные с ней регламенты (например, настройку брандмауэров - сетевых экранов <9>) при внедрении новых банковских технологий и т.п. Давно используемое программное обеспечение хорошо изучено хакерами, и его недостатки, обычно известные хакерскому сообществу, легко могут быть использованы в также хорошо известных атаках. Поэтому желательно постоянно следить за обновлением версий программного обеспечения технических средств, защищающих сетевые ресурсы. Перечисленные здесь процессы также желательно регламентировать во внутренних документах кредитной организации (включая должностные инструкции сотрудников).

     
   ————————————————————————————————
   

<9> Firewall (брандмауэр) - сетевой компонент, реализующий часть политики информационной безопасности за счет фильтрации сетевого трафика в соответствии с установленными правилами, размещается обычно между защищенной и незащищенной вычислительными сетями.

Надо отметить, что вообще понятие "связанная сторона" в современной банковской деятельности становится все шире, и это не удивительно: новые банковские технологии, как правило, требуют нового и адекватного аппаратно-программного обеспечения, а сложность его такова, что ни одна кредитная организация теперь уже не может обойтись услугами только одного провайдера <10>. Виды зависимости кредитных организаций от сторонних организаций стали многочисленны и разнообразны, тем не менее любые зависимости такого рода целесообразно оформлять тщательно продуманными договорами (контрактами), причем во главу угла логично ставить не столько зависимость самой кредитной организации от какого-либо провайдера, сколько зависимость выполнения ею обязательств перед своими клиентами или, шире, теми, кто находится в финансовой зависимости от нее.

     
   ————————————————————————————————
   

<10> В данном случае понятие провайдера охватывает все внешние по отношению к кредитной организации компании, с которыми у нее существуют договорные отношения в части приобретения товаров или услуг - от доступа в Интернет и процессинга (не обязательно резидентного) до поставки аппаратно-программного обеспечения и хранения носителей банковских данных.

Как было показано ранее, зависимости в рамках аутсорсинга не всегда в полной мере осознаются кредитными организациями, не говоря уже об их клиентуре. В особенности это проявляется в отношении перспектив, имея в виду, что в случаях возникновения серьезных проблем с провайдерами, которые приводят к прерываниям в обслуживании, потерям ордеров клиентов, нарушению целостности или потере данных и т.п., то есть проблемам именно в операционной работе, кредитные организации сталкиваются с необходимостью замены провайдера или даже возврата к самостоятельному выполнению переданных на аутсорсинг функций. Процесс такого возврата вполне может быть связан с высокой вероятностью реализации операционного, стратегического, правового, репутационного рисков, а иногда и риска ликвидности. На это в последнее время все чаще обращают внимание зарубежные органы банковского надзора, фиксируя распространение аутсорсинга и многообразие его видов и призывая кредитные организации внимательно относиться ко всем случаям какой-либо внешней зависимости результатов их деятельности и тщательно анализировать возможные последствия этого <11>.

     
   ————————————————————————————————
   

<11> Outsourcing in Financial Services. The Joint Forum // DCDS, Basel, Feb 2005.

Как правило, ошибки в организации и условиях передачи тех или иных функций на аутсорсинг, допускаемые кредитными организациями, за исключением тех случаев, когда без провайдеров "просто не обойтись" <12>, обусловлены недостаточным пониманием реальной необходимости учета всех возможных зависимостей разных видов деятельности кредитных организаций от провайдеров и возможного влияния связанных с ними факторов риска на текущую операционную работу. По мнению автора, для обеспечения целостности картины зависимости кредитной организации от сторонних организаций (вплоть до систем энергообеспечения и пожаротушения) целесообразно было бы составить и вести регулярно проверяемый на полноту и адекватность внутренний документ, содержащий перечень провайдеров, описание оказываемых ими услуг, характеристики возможно связанных с ними факторов риска и описание мер, принимаемых при невозможности дальнейшего пользования их услугами. Такой документ мог бы оказаться полезен при оценке уровней рисков, связанных с провайдерами, и влияния их на деятельность кредитной организации при осуществлении, поддержании (сопровождении, масштабировании) и планировании дальнейшего развития ДБО.

     
   ————————————————————————————————
   

<12> Например, банк вряд ли будет интернет-провайдером сам для себя или собственником всех используемых им для ДБО систем и линий (каналов) связи или центром сертификации.

Указанные возможные проблемы с "осознанием" внешних зависимостей кредитной организации обусловлены, скорее всего, недостатками в организации и содержании управления банковскими рисками, связанными с аутсорсингом, то есть, в итоге, в построении систем выявления, анализа, мониторинга этих рисков и воздействия на их источники. Хорошо известно, что если опасность не осознается, то ее как бы не существует, вследствие чего и защитные меры не принимаются. Отсюда и становится очевидна важность тщательного выстраивания и учета причинно-следственных связей от факторов риска до последствий их реализации. От этого же зависит и доверие клиентов к кредитной организации, и отношение надзорных органов. Однако, как говорят англичане, "невозможно создать первое впечатление со второй попытки", а банковское дело имеет как раз такую специфику, что "второго раза" может уже не быть.

Из сказанного следует, что при переходе к аутсорсингу целесообразно предварительно разработать его "политику" <13>, включающую обоснование необходимости, состав передаваемых на аутсорсинг функций кредитной организации, выбор провайдера, определение условий контракта с ним и организацию процесса контроля отношений с провайдером в самой кредитной организации. Необходимо еще раз подчеркнуть, что понятие "провайдер" в случае применения технологий ДБО лучше понимать в широком смысле, учитывая те разнообразные роли, которые такие "обслуживающие" организации играют в деятельности современных кредитных организаций. По существу каждый такой вариант характеризуется индивидуальным (хотя нередко схожим) составом источников банковских рисков. В идеальном варианте кредитной организации для каждого вида провайдера целесообразно разработать специальную политику и внутренние документы, описывающие организацию работы и взаимодействие с ним, контроль качества предоставляемых им услуг и соблюдение установленных договорных отношений, а также возможное влияние на обслуживание клиентов кредитной организации. Понятно, что любой "идеальный" вариант встречается нечасто, вот и этот тоже присутствует в основном в рекомендациях.

     
   ————————————————————————————————
   

<13> Неизбежно приходится использовать терминологию зарубежных органов банковского регулирования и надзора, поскольку для тематики аутсорсинга как таковой нормативно-правовая база в России пока что не разработана.

Одним из факторов риска, связанных с аутсорсингом и, как правило, редко учитываемых кредитными организациями, является отсутствие внимания к содержанию именно взаимодействия с провайдерами. За рубежом (в США и Западной Европе) считается, что любая пользующаяся аутсорсингом кредитная организация должна иметь полное представление как минимум о таких характеристиках провайдера, как:

- лицензионные данные;

- финансовое состояние;

- история, опыт и перспективы деятельности;

- обеспечение информационной безопасности;

- состав аппаратно-программного обеспечения;

- квалификация основного персонала;

- средства обеспечения непрерывности функционирования;

- организация внутреннего контроля;

- содержание планов на случай чрезвычайных обстоятельств;

- наличие и содержание субконтрактов на аутсорсинг <14>;

- результаты аудиторских проверок.

     
   ————————————————————————————————
   

<14> В этом случае требуется если не посещение представителями кредитной организации субконтрактора, то как минимум изучение содержания договора основного провайдера с ним.

Как обычно, правильная организация работы с провайдерами зависит от понимания значимости данной проблематики руководством кредитной организации. На это обращается внимание во многих материалах зарубежных органов банковского надзора, например в одном из руководств Федеральной корпорации страхования депозитов США (FDIC) по оцениванию рисков, связанных с информационными системами, сказано: "Если банк взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, администрированием, обслуживанием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, ассоциируемых с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов".

Поскольку, как отмечалось ранее, компьютерные системы провайдеров могут использоваться в качестве промежуточных "усилителей" для атак на кредитные организации, специалистам кредитной организации целесообразно время от времени проводить работу по изучению состояния дел с обеспечением информационной безопасности у провайдеров. Собственно, логично было бы обращать внимание руководителей самих провайдеров на то, что от надежности, функциональности и защищенности их систем может непосредственно зависеть операционная деятельность кредитной организации. Таким образом, желательно было бы убеждаться также и в том, что специалисты провайдера осведомлены о возможных сетевых атаках и принимают все необходимые меры для того, чтобы им противостоять, защищая тем самым и автоматизированные системы связанных с ними организаций.

Кроме того, желательно помнить, что общая пропускная способность или, иначе, производительность кредитных организаций, принимающих, обрабатывающих и отправляющих потоки банковских и клиентских данных, определяется отнюдь не только соответствующими характеристиками внутрибанковских автоматизированных систем. Не менее важны такие же показатели компьютерных и связных систем провайдеров, то есть специалистам кредитной организации целесообразно убедиться, что характеристики этих систем рассчитаны правильно и соответствуют потребностям данной кредитной организации, учтены вопросы масштабируемости систем, имеется резерв не только по аппаратно-программной части, но и по ее производительности и т.п. Все эти вопросы логично рассматривать не только с точки зрения самой кредитной организации, но и с позиций возможного влияния на ее клиентуру, то есть в том числе на возможные уровни соответствующих связанных с аутсорсингом компонентов операционного, репутационного, правового и стратегического рисков.

Сюда же, кстати, относится и проблематика восстановления операционной работы после возникновения чрезвычайных ситуаций, приведших к ее частичному или полному прерыванию. Сама приведенная формулировка предполагает желательность наличия в кредитной организации неких наборов сценариев развития неблагоприятных событий, приводящих к различным ситуациям, то есть разных "проблемных уровней". Имеются в виду планы действий, адекватные разным по степени влияния и значимости угрозам типа "Что будет, если произойдет "это"? А если еще и "то"? А системный администратор в это время ушел пить кофе? К тому же лопнувшая батарея парового отопления залила не только основной сервер, но и резервный, которые почему-то стояли рядом?". И так далее, вплоть до того, как быстро можно ввести резервное программное обеспечение и резервные записи баз данных, в том числе если они переданы на хранение специализированному провайдеру, и насколько то, что может произойти, учтено в договорах с клиентами на ДБО.

Клиенты в свою очередь должны (в идеальном случае) располагать возможностями связи с сервис-центром кредитной организации (чаще называемым теперь "call center"), получить информацию о том, что их интересам ничто не угрожает, через Интернет, а также сведения о том, каким образом они могут возобновить прерванные или осуществить ставшие вдруг недоступными операции. Для того чтобы убедиться в реальности этих вариантов, самой кредитной организации целесообразно время от времени обращаться за подтверждением к независимым аудиторским фирмам, делая необходимые затраты.

Сказанное в последних абзацах относится в полной мере и к банковским автоматизированным системам, к рассмотрению которых с позиций риск-фокусированного надзора настало время перейти. Речь идет о третьей зоне концентрации факторов банковских рисков, которая формируется локальными и (или) зональными вычислительными сетями кредитных организаций. Несмотря на сходство во многих случаях архитектуры таких систем в целом, уникальность присуща каждой из них, не говоря уже о необходимости модернизации вместе с развитием банковского бизнеса. Вследствие этого в каждой кредитной организации схемы выявления, оценки и анализа риска оказываются индивидуальны, хотя реализуют фактически единую лежащую в их основе методологию выявления, оценивания и анализа рисков. В наиболее общем случае это та же методология риск-фокусированного надзора. Поэтому, в частности, органами банковского надзора США принят подход к внедрению методологии такого рода в банковскую практику, при котором на регулярной основе выпускаются специальные рекомендации или руководства, в которых излагаются те положения, которые рекомендуются одновременно и для собственно надзора, и для коммерческих банков. Тем самым надзорные органы демонстрируют свои "ожидания" относительно того, как будут выявлять и хеджировать риски коммерческие банки.

Что касается систем электронного банкинга, то при выборе конфигурации соответствующей внутрибанковской автоматизированной системы считается необходимым рассмотреть следующие четыре фактора <15>:

1) стратегические цели, определенные для электронного банкинга;

2) масштабы, содержание и сложность деятельности и ее обеспечения;

3) технологический опыт;

4) требования к безопасности и внутреннему контролю.

     
   ————————————————————————————————
   

<15> E-Banking // IT Examination Handbook, FFIEC, Washington, DC, July 2003.

При этом целесообразно оценить, может ли быть реализована вся технологическая схема внутри кредитной организации или же какие-то функции (либо технологическую поддержку их выполнения) предпочтительнее передать на аутсорсинг. Очевидно, что в зависимости от таких решений схемы выявления, оценки, анализа и мониторинга рисков будут различными (хотя частично перекрывающимися). По существу в этом и проявляется адаптация кредитными организациями своих внутренних процедур, ориентированных на управление рисками, к реальному составу ИКБД.

В число основных процессов, связанных с ИБ и подлежащих анализу с точки зрения факторов риска в любой кредитной организации, входят:

- разработка, размещение и ведение web-сайта;

- конфигурация сетевых брандмауэров и управление ими;

- внедрение и сопровождение системы обнаружения вторжений <16>;

- администрирование вычислительной сети;

- обеспечение информационной безопасности;

- управление работой серверов ИБ;

- управление работой серверов вычислительной сети;

- управление прикладными программами (расчетов, платежей и пр.);

- ведение бухгалтерского учета и подготовка отчетности;

- поддержка и сопровождение аппаратно-программного обеспечения.

     
   ————————————————————————————————
   

<16> IDS - Intrusion Detection System.

Поскольку все эти компоненты необходимы для реализации процесса ИБ, полноценный анализ каждого из них одинаково важен. На рисунке <17> приведено упрощенное схематичное изображение ИКБД, в котором актуализируются все перечисленные выше процессы. Подобные схемы полезно разрабатывать и анализировать при внедрении таких технологий, как ИБ (в более общем случае - электронного банкинга), детализируя те сегменты, которые относятся к самой кредитной организации и, по возможности, к ее провайдерам.

     
   ————————————————————————————————
   

<17> Рисунок не приводится

Аппаратно-программное обеспечение как системы ИБ, так и любых вычислительных сетей может характеризоваться различным размещением и в самой кредитной организации, и на средствах ее провайдеров. На рисунке <18> несколько пунктирных стрелок показывают компоненты ИКБД, которые могут управляться провайдерами или размещаться у них. Наиболее надежным можно считать вариант, при котором наибольшая часть оборудования, связанного с операциями электронного банкинга, размещается в пределах кредитной организации, включая web-сайт. Однако в этом случае ей необходимы соответствующие "производственные" мощности и весьма квалифицированный персонал, обеспечивающий управление банковскими автоматизированными системами, контроль их функционирования и защиту. Следует отметить, что приведенная схема <19> не охватывает все возможные конфигурации ИКБД, поэтому и желательно составление схем такого рода в каждом отдельном случае.

В качестве одного из вариантов риск-фокусированный анализ можно проводить по так называемым компонентам рисков (которые можно назвать "элементарными рисками") как минимум операционного, правового и репутационного рисков (ведь все они связаны с возможными выходами банковских и других компьютеризованных систем из штатных режимов работы), а в ряде специальных случаев также риска ликвидности и стратегического риска. При этом каждый элементарный риск логично увязывать с каким-то одним фактом, отмечающим тот или иной недостаток в содержании, организации и условиях осуществления ИБ. Подмножества таких фактов приводят к тем или иным возможным негативным событиям, а совокупности событий образуют ситуации реализации риска в кредитной организации, которые, собственно, и подлежат комплексному анализу на предмет минимизации или исключения влияния источников рисков.

Таким образом, формируется иерархическая древовидная схема, в которой может наглядно прослеживаться также эффект "распространения риска" в кредитной организации. Такой подход характеризуется как детальностью анализа, так и высокой трудоемкостью, поэтому на практике чаще используется либо обобщение до укрупненных компонентов ИКБД (например, исходя из типового состава форс-мажорных ситуаций), либо составление перечней мер и мероприятий, выполнение которых само по себе предполагает достаточную защиту от возможных угроз функционированию кредитной организации. На этой основе далее определяются возможные причинно-следственные связи в случаях развития неблагоприятных событий, анализ которых доводится до составления и модернизации планов на случай чрезвычайных ситуаций.

Тем не менее иерархическая аналитическая схема желательна в тех случаях, когда КО пользуется компьютерными системами сторонних организаций для поддержки своей операционной деятельности. Скажем, в случае ИБ один провайдер может осуществлять так называемый хостинг и web-сайта кредитной организации, и сервера операций ИБ, и брандмауэра, и системы обнаружения вторжений. Фактически в подобных вариантах кредитная организация оказывается ответственна за функционирование неподконтрольных ей систем, однако для клиентов ДБО эта "неподконтрольность" не имеет значения, поэтому кредитные организации вынуждены принимать меры для того, чтобы хотя бы с какой-то периодичностью убеждаться в надежности того или иного провайдера, компенсируя тем самым соответствующие компоненты операционного, правового и репутационного рисков (как минимум). Это особенно справедливо в тех ситуациях, когда из-за недостаточно развитой инфраструктуры кредитные организации не имеют возможностей для эффективного "горячего резервирования" провайдеров, что, кстати, для российских условий, к сожалению, еще не редкость.

В предельном же случае - когда на аутсорсинг передается практически вся указанная деятельность - возникает необходимость в проведении регулярных специальных проверок состояния и деятельности провайдеров с позиций поддержания ими условий надежной банковской деятельности. Такие проверки и анализ факторов риска, связанных с аутсорсингом, целесообразно проводить службам информационной безопасности и внутреннего контроля кредитных организаций, как это имеет место во многих странах Запада. В этом случае уместно было бы использовать не только риск-фокусированный, но и клиент-ориентированный подходы. Естественно, для эффективного выполнения подобных обязанностей этим службам требуются соответствующие методические материалы, которые в общем случае целесообразно разрабатывать как для конкретных конфигураций внутрибанковских систем и систем ИБ <20>, так и для конкретных вариантов аутсорсинга. А для того, чтобы использовать эти материалы на практике (а в общем случае и для того, чтобы их разработать), требуются специалисты, имеющие серьезную подготовку и в области информационных технологий, и в области банковского дела (включая его юридические аспекты). Мало того, в органах управления кредитной организации крайне желательно наличие специалистов, осознающих указанные потребности.

     
   ————————————————————————————————
   

<20> В последнее время отмечается все больше случаев использования кредитными организациями не только множественных систем ДБО, но и различных систем ИБ.

Наиболее многообразными при возникновении в любом, в том числе банковском, бизнесе взаимодействия через Интернет считаются проблемы обеспечения информационной безопасности. Их действительно много, однако все они являются либо следствием специфики интернет-технологий как таковых, либо вариантами типовых и хорошо известных угроз информационной безопасности. Следовательно, их нетрудно понять и предложить эффективные меры для их решения. В намерения автора не входит детально излагать принципы обеспечения информационной безопасности в условиях применения распределенных и в известной степени "открытых" компьютерных систем, но отдельные замечания относительно достаточно типичных недостатков здесь представляются уместными, поскольку практически любой из них может привести к реализации любого же из рассматривавшихся в данной статье рисков.

Прежде всего целесообразно помнить о том, что идеальных способов и средств обеспечения информационной безопасности в сетевых структурах до настоящего времени не существует. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками, и мастерство тех, кто защищает кредитную организацию от реализации компонентов рисков, связанных с инцидентами информационной безопасности, как раз заключается в том, чтобы в совокупности "накрыть" все поле факторов рисков такими средствами защиты, недостатки которых не совпадают. Простейшим примером здесь может служить принцип "эшелонированной обороны", который реализуется, скажем, применением брандмауэров различных видов, возможно, разных производителей или работающих на разных аппаратно-программных платформах. При этом, вообще говоря, желательно и разделение обязанностей по их настройке и использованию. В то же время целесообразно помнить о том, что, хотя брандмауэры действительно являются критично важными компонентами сетевой защиты, они защищают не от всех атак и не все атаки могут обнаружить.

Прослушивание сетевого трафика или перехват передаваемой по вычислительным сетям информации может раскрыть более чем достаточно сведений для хакера, стремящегося к получению прав и полномочий наиболее высокого уровня. Такие атаки являются пассивными, вследствие чего их трудно обнаружить, поэтому целесообразно применять средства обнаружения "прослушки" в вычислительных сетях. Вместе с тем целесообразно учитывать желательность разнообразия средств не только пассивной, но и активной защиты. Если, например, злоумышленники могут использовать специальные программы-"вынюхиватели" для перехвата, допустим, идентификационных кодовых последовательностей в сетевом трафике, то и в качестве средств сетевой защиты уместно применять программы, позволяющие обнаружить и идентифицировать таких "вынюхивателей". То есть речь здесь идет об известном принципе, который можно было бы переформулировать так: "чтобы поймать хакера, нужен хакер". Это относится и к выявлению источников сетевых атак через Интернет, в данном случае - на банковские автоматизированные системы, о чем желательно знать специалистам кредитной организации, отвечающим за системы ИБ и информационную безопасность, поскольку многие зловредные действия в киберпространстве стали в последнее время уголовно наказуемыми, и все больше становится специалистов, занятых в том числе расследованиями в Сети.

Вообще уместно помнить о том, что защиту лучше строить не как "реактивную", а как "проактивную". Речь идет о том, что целесообразно представлять себе возможные действия хакеров и создавать модели нарушителей и возможных атак, а также сценарии их развития и последствий. На основе этого в том числе строится эффективная система обеспечения информационной безопасности, определяются методы и средства защиты данных и операций.

Защита от компьютерных вирусов, "червей", "троянских коней" и других вредоносных программ уже давно стала общим местом в публикациях, связанных с компьютеризацией банковской деятельности, особенно при работе с электронной почтой в Интернете. Тем не менее средствами антивирусной защиты или регулярностью их обновления все равно часто пренебрегают. В то же время достаточно одной "удачной" атаки, чтобы нарушить или разрушить бизнес. Известны случаи разрушения баз банковских данных, которые потом приходилось восстанавливать по первичной информации (причем иногда кредитные организации вообще были вынуждены обращаться за своими же данными в территориальные учреждения Банка России!). Поэтому, безусловно, в кредитной организации крайне желательно определить порядок и регламент работ с антивирусными средствами, назначить ответственных и контролирующих, обучить и контролировать пользователей банковских автоматизированных систем и систем ИБ.

Да и в целом, исходя из содержания тех процессов, которые протекают в сетевых системах при дистанционном взаимодействии клиента кредитной организации с ее web-сервером и, далее, внутрибанковской автоматизированной системой, нельзя не отметить так называемые активные элементы web-страниц. Известно, что закачиваемое на компьютер, подключенный к Интернету, активное содержимое может быть значительно активнее, чем кажется (об одном весьма опасном варианте фишинга уже говорилось в этой статье). Такие средства формирования "активного контента", то есть динамического и интерактивного содержания web-страниц, как Java, JavaScript, ActiveX, могут использоваться и для скрытого вредоносного воздействия на компьютерные системы, краж данных и т.д. Поэтому часто полезно отключать их, хотя это может значительно снизить "красоту" интерфейса.

Между прочим, брандмауэры, размещенные по периметру вычислительной сети кредитной организации, защищают ее от сетевых проникновений, но не от атак через модемы, особенно несанкционированные. В развитых вычислительных сетях, насчитывающих сотни и тысячи компьютеров, и в условиях слабо регламентированного или вообще неконтролируемого доступа в Интернет это может превратиться в серьезную проблему. Поэтому необходимо следить за действиями пользователей и попытками несанкционированных проникновений через такие "дыры" в защите, проводя аудит линий связи. Для этого, конечно, нужен регламент, ответственные лица, распределение прав, полномочий, обязанностей, контроль исполнения и т.д.

Безусловно, информационная безопасность связана не только с техническими средствами, поскольку известно, что самым слабым звеном в причинно-следственных цепочках является человек. Прежде всего это относится к распространенному заблуждению о том, что в кредитной организации все работники честные, а все мошенники действуют только извне. Это далеко не всегда так, и примерно половина атак замышляется сотрудниками кредитных организаций, хорошо знающими объекты атак и, кстати говоря, способными нанести гораздо больший ущерб, чем хакеры. К тому же даже при отсутствии злого умысла человеку "свойственно ошибаться", особенно при слабой подготовке и недостаточной квалификации, чем часто пользуются хакеры. Лучше всего создавать такие условия, в которых нарушать установленные правила оказалось бы крайне затруднительно независимо от уровня квалификации пользователя компьютерных систем. В наибольшей степени это касается нарушений правил парольной защиты, идентификации пользователей и аутентификации их действий. Пароли вообще используются для идентификации личностей чаще всего, но это - одно из наиболее слабых мест в защищаемых компьютерных системах, вследствие чего защита изначально должна быть комплексной и контролируемой.

К вопросам идентификации и аутентификации тесно примыкает проблематика вовлечения кредитных организаций в противоправную деятельность, что обусловлено отмечавшейся ранее возможной анонимностью деятельности в киберпространстве, прежде всего с помощью ИБ. В данной ситуации целесообразно уделять самое серьезное внимание автоматическим или хотя бы полуавтоматическим способам и средствам контроля над операционной деятельностью, инициируемой из Сети. Безусловно, в первую очередь речь идет об идентификации клиентуры, работающей с кредитной организацией дистанционно, но нередко приходится отмечать, что, предоставляя клиентам возможность дистанционной работы, кредитные организации забывают о необходимости их последующей регулярной верификации. Отсутствие такого процесса в кредитной организации может привести к резкому росту правового, репутационного и стратегического рисков для нее.

Дополнительные сложности могут возникнуть в тех ситуациях, когда филиалы кредитной организации осуществляют банковское интернет-обслуживание автономно, а то и практически независимо от своего головного офиса. В этом случае для снижения упомянутых рисков органам управления кредитной организации требуется разрабатывать дополнительные процедуры управления и контроля, включая содержание трафика между ее клиентами и бэк-офисом. Вследствие этого реализация принципа "знай своего клиента" (Know Your Client) оказывается в непосредственной зависимости от того, насколько строго соблюдаются известные корпоративные принципы в многофилиальной кредитной организации <21>. Ну и, вероятно, особую осторожность в этом отношении и внимание к идентификации личности клиента логично проявлять в тех случаях, когда речь идет о трансграничном банковском обслуживании через Интернет.

     
   ————————————————————————————————
   

<21> Consolidated KYC Risk Management // Basel Committee on Banking Supervision, Basel, BIS, Oct 2004.

* * *

В завершение статьи необходимо сделать специальный акцент на проблемах, связанных с обеспечением управляемости и контролируемости банковских программно-информационных комплексов, используемых кредитными организациями, в целом. Отмечавшаяся сложность ИКБД, формирующегося при каждом интернет-сеансе клиента со своей кредитной организацией, требует не менее сложной организации контроля над банковской деятельностью через Интернет. Однако, несмотря на то что каждый раз сетевой трафик проходит неведомыми для кредитной организации и ее клиентов путями (возможно, и вокруг земного шара), значительная часть указанного контура остается неизменной. Это аппаратно-программное обеспечение самой кредитной организации (системы ИБ) и ее провайдеров. К сожалению, даже в этой части проблема контроля оказывается нередко почти нерешаемой, поскольку для обеспечения полной контролируемости функционирования этих программно-информационных комплексов и межсетевого трафика как в систему ИБ, так и в банковскую автоматизированную систему кредитной организации фактически должны быть заложены средства тестирования, расположенные в основных "информационных сечениях". Такими сечениями, как правило, являются точки перехода информации из одной системы (или подсистемы) в другую и преобразования данных из одних форм (форматов) в другие.

Теоретически возможности контроля должны закладываться на стадии проектирования банковских автоматизированных систем, причем с участием тех специалистов, которым потом будет поручено за этот контроль отвечать. В оптимальном варианте это даже не столько специалисты подразделения информатизации кредитной организации, сколько ее служба внутреннего контроля. Далее, на этапах жизненного цикла системы, указанные специалисты обеспечивают целостность контрольных функций, включая этапы сопровождения и модернизации данной системы. От них же, вообще говоря, зависит и контроль над автоматизированными системами провайдеров кредитной организации. Очевидно, что неконтролируемую систему нельзя считать системой управляемой, не говоря уже о достоверности управленческой информации, формируемой для принятия решений. При неблагоприятных ситуациях, которые усугубятся (а так оно и бывает!) недостатками внутреннего контроля, клиенты, осуществляющие деловые операции через Интернет, скорее всего, не потерпят ошибок или промахов со стороны финансовых учреждений, которые не обладают специальными достаточными и надежными средствами внутреннего контроля для управления проведением операций в рамках интернет-банкинга. Следствием этого опять-таки явится реализация как минимум репутационного, а то и правового и стратегического рисков.

Каким бы трудоемким делом ни казалась организация внутрибанковских процессов по рассмотренным в настоящей статье направлениям, уместно помнить о все возрастающей зависимости кредитных организаций, их клиентов, да и всей банковской деятельности от современных компьютерных и телекоммуникационных технологий, и ИБ не является в этом смысле чем-то исключительным. По существу, все затраты на разработку и составление схем (хотя для инженерных-то разработок это - закон), их предварительный и последующий анализ, разработку моделей и сценариев угроз, определение способов и приобретение или разработку средств для их парирования и т.п. представляют собой плату за само применение упомянутых технологий, и для современных кредитных организаций это уже неизбежно.

Необходимо, кстати, отметить, что недостаточное внимание органов управления кредитных организаций к процессу разработки внутренних документов, их полноте, адресности, адекватности и актуальности само по себе является одним из основных внутрибанковских факторов риска. Но ими одними дело не исчерпывается, поскольку требуются эффективное распределение ответственности, прав и полномочий, подконтрольности и подотчетности, разработка специализированного методического обеспечения по выявлению, анализу, мониторингу рисков, контролю операционной деятельности, информационных отчетов для органов управления кредитной организации - все это вовсе не преувеличение и соответствует рекомендациям органов банковского надзора Западной Европы и США. К сожалению, как показывает практика современной надзорной деятельности, реальная ситуация в банковском секторе еще далека от идеальной.

Как бы то ни было, проблемы, возникающие у кредитных организаций из-за расширения состава факторов (естественно, только в случае их осознания) и связанные с применением ДБО через открытые сетевые системы, в первую очередь Интернет, не должны приводить к стагнации прогресса в этой области. Ни одна из них не является неразрешимой, и при тщательном анализе структуры ИКБД, учете возможно большего числа компонентов банковских рисков, установлении причинно-следственных связей между возможными недостатками в организации ИБ и невозможностью выполнения кредитной организацией взятых на себя обязательств перед клиентами, а также принятии мер, предотвращающих возникновение и реализацию факторов банковских рисков, любое ДБО может быть сделано надежным. Вот на этой оптимистичной ноте уместно и остановиться...

Л.В.Лямин

Начальник отдела интернет-банкинга

Управления методологии рисков

внутрибанковских систем

Департамента банковского регулирования

и надзора Банка России

Подписано в печать

03.08.2006

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——